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Zero Trust 网 络 访问 


Cloudflare Zero Trust， 具 体 而 言 是 Access， 让 所 有 用 户 无 需 使 用 
VPN 即 可 访问 企业 的 自 托 管 、SaaS 或 非 Web 应 用 ， 从 而 提高 团队 
生产 力 并 降低 风险 。 i 


为 混合 办 公 提 供 简 单 、 安 全 的 访问 


互联 网 原生 的 Zero Trust 网 络 访问 (ZTNA) 使 用 VPN 相关 的 远程 访问 支持 
今天 的 分 布 式 办 公 环 境 要 求 分 布 式 的 安全 方法 。 “边界 ”不 工 单 解决 时 间 平 均 减 少 80%1 
再 存在 ， 传 统 的 远程 访问 解决 方案 (如 VPN) 无 法 满足 现代 
的 安全 性 和 性 能 期 望 。 


ZTNA 持续 检查 基于 每 个 资源 的 细 粒 度 上 下 文 信息 (例如 身 相 比 以 前 的 供应 商 ， 每 月 策略 
份 和 设备 态势 ) ， 简 化 和 保护 任何 用 户 对 任何 应 用 的 访问 ， 配置 时 间 减 少 72% 


无 论 使 用 什么 设备 ， 无 论 身 处 何 地 。 使 用 一 种 全 新 的 方法 ， 
无 需 在 安全 性 和 用 户 体验 之 间 “ 权 衡 取舍 ”。ZTNA 同时 提 
升 两 者 ， 让 企业 如 虎 添 翼 。 68% 用 户 发 现 简 化 员工 和 承包 商 

人 合 j 合 影 [ 响 1 
它 还 使 组 织 更 加 敏捷 ， 能 够 更 好 地 应 对 变化 ， 无 论 是 进行 去 的 身份 验证 体验 产生 重大 影响 
迁移 、 并 购 活动 ， 还 是 快速 创新 和 扩展 。Cloudflare 是 一 个 
Zero Trust 或 安全 现代 化 战略 的 核心 ， 通 过 我 们 可 编程 的 全 
球 连 通 云 交付 ZTNA。 


为 您 的 企业 提供 现代 访问 方式 


sce 名 
增强 用 户 体验 杜绝 横向 移动 轻松 扩展 Zero Trust 


利用 现代 化 安全 工具 ， 让 本 地 应 用 ”为 每 种 资源 授予 基于 上 下 文 的 最 低 。 ”通过 保护 关键 应 用 程序 或 最 高 风险 
程序 使 用 起 来 就 像 SaaS 应 用 程序 。” 特权 访问 ， 而 非 网 络 级 访问 权限 ， 的 用 户 群 来 改善 技术 效率 ， 然 后 扩 
一 样 ， 从 而 提高 团队 生产 力 。 不 再 。 ”从 而 降低 网 络 风 险 ， 缩 小 攻击 面 。 展 互联 网 原生 的 ZTNA 以 保护 整体 
依赖 缓慢 、 笨 重 的 VPN， 不 再 有 员 业务 。 

工 抱 怨 。 
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Access 主要 用 例 

安全 混合 办 公 

去 VPN 增强 与 替代 一 访问 比 传统 VPN 更 快 、 更 安全 。 
开始 卸载 关键 应 用 ， 以 提升 安全 性 和 最 终 用 户 体验 。 


妈 承包 商 访问 _ 通过 无 客户 端 选项 、 社 交 IdP 等 方式 
验证 第 三 方 用 户 的 身份 。 


e 开发 人 员 访 问 一 让 特权 技术 用 户 安全 访问 关键 基础 
设施 ， 而 无 需 牺牲 性 能 。 


开始 进行 VPN 增强 和 替代 


支持 数字 现代 化 


e 加 速 并 购 一 完全 避免 传统 的 网 络 合 并 。 集 成 多 个 IdP 
的 访问 ， 在 并 购 过 程 中 提供 基于 应 用 的 内 部 访问 。 

e 云 迁 移 一 确保 在 应 用 或 身份 目录 迁移 到 云端 之 类 的 转 
型 期 间 维持 业务 连续 性 。 

e 防 钓鱼 的 MFA 一 在 每 一 个 地 方 推出 强身 份 验证 ， 例 如 
符合 FIDO2 标准 的 安全 密 钥 。 


对 于 增强 VPN 的 ZTNA 试点 ， 优 先 考虑 关键 应 用 或 高 风险 的 用 户 。 使 用 无 客户 端 方式 访问 Web 应 用 或 基于 浏览 器 的 SSH， 
以 便 加 快 测试 。 随 着 时 间 的 推移 ， 采 用 高 级 功能 来 全 面 替 代 VPN， 并 在 网 络 变化 时 维持 动态 可 见 性 。 


将 优先 级 应 用 从 VPN 中 逢 载 


将 内 部 应 用 
连接 到 集成 身份 和 配 秆 


Zero Trust 


端点 保护 规则 


Cloudflare 
网 络 


开始 使 用 承包 商 (第 三 方 ) 访问 


立即 测试 无 客户 
这 访问 您 的 内 部 DNS 


向 完全 替代 VPN 迈进 * 


将 内 部 IP 地 址 
和 主机 名 指向 


通过 专用 网 络 
影子 IT 发 现 
保持 可 见 性 
解析 器 


提供 流畅 的 用 户 体验 ， 同 时 减轻 来 自 非 受 管 设备 的 风险 。 为 承包 商 配置 简单 的 身份 验证 选项 一 一 无 需 安装 最 终 用 户 软件 。 


随 着 时 间 的 推移 ， 采 用 高 级 功能 来 应 用 更 进一步 的 数据 保护 。 


通过 无 客户 端 访问 快速 连接 第 三 方 用 户 


确定 第 三 方 用 户 将 多 个 单 点 登录 
必须 访问 的 试点 与 社交 IdP 或 一 


为 外 部 协作 者 配 
置 Zero Trust 


应 用 次 性 密码 集成 规则 


* 信 有 Zero Trust YRWMWDNI WM 
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立即 测试 无 客户 
端 访问 的 远程 浏览 器 


隔离 应 用 以 加 强 数 据 保护 力度 * 


通过 超 低 延 迟 应 用 广泛 的 DLP， 
例如 阻止 复制 / 


粘贴 或 上 传 /下 载 


隔离 应 用 
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Access 的 工作 方式 


Cloudflare Access 是 一 个 灵活 的 聚合 层 ， 它 可 以 不 断 地 验证 细 粒 度 上 下 文 ， 例 如 身份 和 设备 态势 ， 
提供 针对 组 织 所 有 资源 的 简单 、 安 全 的 访问 ， 创 建 一 个 软件 定义 的 边界 。 当 用 户 进行 身份 验证 并 满足 
所 有 访问 策略 条 件 时 ，Access 会 发 放 一 个 经 过 签名 的 JSJON Web Token， 在 特定 会 话 期 间 有 效 。 所 
有 用 户 请 求 通过 我 们 的 可 组 合 平台 时 ， 我 们 将 执行 一 次 性 检查 ; 凭借 我 们 独特 的 Anycast 网 络 架构 ， 
我 们 的 集中 式 策 略 管理 体验 可 在 数秒 内 将 策略 更 改 传播 到 全 球 。 


无 客户 端 和 客户 端 双管齐下 ， 可 处 理 所 有 设备 类 型 。 所 有 Zero Trust 服务 使 用 单一 设备 客户 端 ， 加 密 
到 达 我 们 网 络 的 流量 ， 维 持 客户 数据 的 隐私 。 我 们 还 通过 我 们 的 无 客户 端 设置 为 企业 外 部 的 设备 提供 
简单 、 安 全 的 访问 。 我 们 的 ZTNA、DNS、 以 及 市 场 领先 的 WAF 和 DDos 保护 服务 协同 工作 ， 创 建 

和 保护 公共 主机 名 ， 以 便 第 三 方 用 户 和 混合 办 公 人 员 通 过 任何 设备 访问 。 我 们 的 无 用 户 身份 验证 选项 
( 令 牌 或 mTLS 证 书 ) 还 可 以 解决 自动 化 服务 和 物 联 网 设备 用 例 。 


对 于 Zero Trust 控制 ， 资 源 使 用 公共 主机 名 作为 反 向 代理 ， 以 访问 自 托管 应 用 程序 (云端 /本 地 ) 或 
基于 浏览 器 的 SSH/VNC ， 使 用 身份 代理 访问 SaaS 应 用 ， 或 者 使 用 基于 客户 端 /隧道 的 专用 路 由 通过 
L4-7 前 向 代理 以 访问 专用 子 网 内 的 任何 Web 或 非 Web 〈 例 如 任意 TCP/UDP) 资源 。 我 们 的 全 球 网 
络 和 应 用 连接 器 软件 相 结 合 ， 可 支持 任何 计算 环境 ， 包 括 公共 云 (包括 Kubernetes 和 容器 ) 或 传统 
的 本 地 网 络 资源 ， 无 需 虚 拟 机 基础 设施 ， 也 没有 类 似 其 他 Zero Trust 供应 商 的 吞吐 量 限 制 。 


第 三 方 身份 、 端 点 、 网 络 入 口 、 日 志 /分 析 和 SIEM 工具 集成 到 我 们 的 仪表 板 中 ， 还 提供 我 们 设备 客户 
端的 原生 选项 和 分 析 ， 让 管理 员 能 够 保持 敏捷 ， 利 用 已 经 使 用 的 工具 进行 构建 。 


CR 


验证 身份 
(多 SSO) 


通过 上 下 文 
授予 访问 权限 浏览 器 内 
终端 
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Access 是 Cloudflare SSE 和 SASE 平台 的 一 部 分 


虽然 SSE 和 SASE 往往 是 一 个 多 年 的 战略 过 程 ， 但 Cloudflare 经 常 看 到 组 织 从 ZTNA 开始 ， 因 为 
它 为 IT 团队 提供 了 可 操作 和 可 实现 的 步骤， 同时 展示 显著 的 短期 业务 价值 。IT 领导 者 寻求 在 整合 
过 程 中 保护 混合 办 公 、 抵 御 威 胁 并 保障 数据 安全 ， 并 越 来 越 多 地 选择 Cloudflare 作为 他 们 值得 信赖 
的 合作 伙伴 。 


Cloudflare 的 部 署 灵 活性 和 可 组 合 架构 使 任何 组 织 都 能 够 保护 和 加 速 设备 、 应 用 和 整个 网 络 的 性 能 ， 
以 保持 混合 办 公 的 安全 性 和 生产 力 。 为 此 ， 我 们 支持 最 终 用 户 的 无 代理 接 入 ， 无 客户 端 Web 隔离 
以 限制 不 安全 的 流量 ， 并 使 用 统一 的 管理 仪表 板 ， 以 便 碍 看 所 有 安全 和 网 络 服务 ， 无 论 管理 员 或 用 
户 从 何 处 连接 。Cloudflare 全 球 网 络 的 广度 使 安全 措施 在 更 接近 最 终 用 户 的 位 置 之 星 ， 最 大 限度 地 
减少 延迟 ， 并 提供 流畅 的 员工 体验 。 我 们 的 Anycast 架构 有 助 于 绕 过 互联 网 中 断 ， 让 团队 保持 在 线 
并 帮助 确保 业务 连续 性 。 


通过 我 们 统一 的 SSE 和 SASE 平台 ，ZTNA、CASB、DLP 和 SWG 策略 之 间 共 享 的 上 下 文 有 助 于 增强 
安全 态势 ， 并 通过 一 致 的 管理 员工 作 流程 简化 实施 。 相 同 的 身份 和 设备 态势 属性 为 ZTNA 和 CASB 
访问 策略 以 及 SWG 策略 提供 信息 ， 从 而 简化 跨 组 织 的 策略 管理 。 


ZTNA、RBI 和 电子 邮件 安全 也 可 以 一 起 使 用 ， 以 便 为 用 户 提供 对 资源 的 有 条 件 访问 ， 同 时 将 用 户 与 
电子 邮件 和 协作 工具 中 的 恶意 内 容 链接、 附件 ) 隔离 开 来 。 为 承包 商 和 使 用 非 受 管 设备 的 用 户 提 
供 对 企业 资源 的 有 限 访问 权限 ， 并 禁用 用 户 交互 (例如 上 传 /下 载 、 复 制 /粘贴 、 键 盘 输 入 ) 以 防止 
数据 泄露 ， 并 可 应 用 其 他 L7 DLP 策略 来 检测 敏感 数据 。 


NCloudflare . 亏 和 
f | dflare Cloudflare One 服务 
Cloudflare 入 口 全 球 连 通 云 
、 一 个 网 络 ， 2 单一 控制 面板 ， 统 一 界面 
无 客户 端 访问 、 内 置 安全 性 


应 用 连接 器 
Zero Trust 
设备 客户 端 国生 


WAN 连接 器 v 浏览 器 隔离 V DLP 


| gd 
V 电子 邮件 安全 V DNS 过 滤 


| re | 
VDDos 防护 Vv 分 析 
一 


Vv Digital Experience Monitoring 


一 
| 


IP Tunnel 


直 连 
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客户 感 


ml 


“Cloudflare Access 得 大 有 统 VPN 的 缩 储 合作 万 莱 。 
羽 户 只 需 采 开 洲 招 吏 江 登 灵 ， 无 需 人 朝天 肥 生 存亡 闸 
包 康 陆 “ 


一 Platzi， 云 工程 主管 


“Cloudflare Access 及 夺 到 态 ， 友 和 瑚 困 浊 多 了 喜 圭 
JPN 的 麻烦 这 允 和 瑚 J 奖 这 逢 一 个 送 克 的 刘 大 ， 历 局 
已 的 部 团 非 营 蒋 滨 。” 


一 ezCater， 安 全 主管 


分 析 师 评价 


三 IDCL 


Cloudflare 被 2023 年 IDC MarketScape Zero Trust 网 络 
访问 报告 评 为 “领导 者 ” 


IDC 指出 Cloudflare 以 “积极 进取 的 产品 战略 来 支持 企业 安 
全 需求 。” 我 们 相信 ， 这 一 认可 证 实 了 我 们 的 方法 ， 即 帮助 
任何 规模 的 企业 开始 采用 Zero Trust ， 保 护 任何 用 户 安全 对 
任何 资源 的 访问 ， 无 需 VPN。 


社民 和 NY 部 黄汤 的 访 1 方面 ，Access LVPN 蕊 尝 
竹 多 ， 龙 更 安全 。 形似 只 需 激 河 后 开 激 加 万 户 。E 珊 能 
工作 Fr。 


一 Bitpanda， 联 合 创始 人 兼 CTO 


“在 入 契 Cloudflare 之 所 ， 安 全 部 和 一 个 应用 和 韦 要 进 闻 
为 WW WIIDHI If FN Cloudflare Zero Trust, 
夫 放 光 以 上 HW/ 可 连 短 了 胡 近 90%。” 


一 Creditas， 网 络 工 程 团队 主管 


:KuUppingercole 


ANALYSTS 


Cloudflare 被 2022 年 KuppingerCole ZTNA 领导 力 指南 
针 评 为 “领导 者 ” 


KuppingerCole Analysts AG 的 2022 年 度 ZTNA 市 场 分 析 
列举 了 Cloudflare 的 数 项 优势 ， 例 如 : 全 面 集成 、 有 机 开 
发 的 安全 和 访问 管理 平台 ， 最 大 的 全 球 云 基础 设施 ， 以 及 
庞大 的 市 场 份额 。 
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Access 的 功能 


创建 /编辑 Zero Trust 以 实现 安全 访问 


和 集中 式 策略 管理 体验 。L7 应 用 在 子 域 和 路 径 级 别 受到 保护 ， 支 持 通配符 和 多 主机 名 ， 并 支持 CORS 请 求 。 
策略 变化 数秒 即 可 传播 到 全 球 。 包 括 策略 测试 器 。 


资源 广度 : 资源 使 用 公共 主机 名 作为 反 向 代理 ， 以 访问 自 托管 应 用 (云端 /本 地 ) 或 基于 浏览 器 的 SSH/VNC ， 使 用 
我 们 可 保护 什么 ， 身份 代理 访问 SaaS 应 用 ， 或 者 使 用 基于 客户 端 /隧道 的 专用 路 由 通过 1L4-7 前 向 代理 * 以 访问 专用 子 网 内 
如 何 保护 的 任何 Web 或 非 Web (例如 任意 TCP/UDP) 资源 。 


身份 通过 所 有 主流 企业 和 社交 身份 提供 商 (ldPs) 进 行 身份 验证 ， 包 括 同时 使 用 多 个 ldP。 也 可 使 用 SAML 和 OIDC 
连接 器 。 支 持 〈 并 可 执行 ) 任何 IdP 提供 的 AuthN 方法 、 临 时 AuthN、 目的 证 明 、 全 局 或 每 个 应 用 会 话 的 
re-AuthN 间隔 ， 以 及 每 个 应 用 或 每 个 用 户 的 即时 会 话 撤销 选项 。 


设备 态势 使 用 设备 客户 端 和 第 三 方 端 点 保护 平台 (EPP) 集 成 验证 设备 态势 。 使 用 服务 对 服务 集成 拉 取 EPP 风险 评 
分 到 Zero Trust 策略 中 。 


用 于 策略 的 上 下 文 信号 配置 各 种 信号 ， 例 如 电子 邮件 群 组 ，IP 范围 ， 地 理 位 置 ， 登 录 方法 (例如 ，MFA 类 型 ，|dP 类 型 )， 有 效 的 
mTLS 或 SSH 证 书 ， 服 务 令 牌 ， 序 列 号 列表 ， 设 备 态势 属性 ， 设 备 客户 端 安装 ， 会 话 持续 时 间 ，SWG 规 
则 实施 或 来 自 外 部 API 调用 的 信号 。 也 可 直接 引用 Microsoft Entra ID (Azure AD) 有 条 件 访 问 策略 。 


其 他 相关 支持 e SCIM: 为 自 托管 和 SaaS 应 用 自动 配置 / 移 除 用 户 ( Okta 和 Azure AD 的 示例 ) 
e 内 部 DNS: 配置 本 地 域 回 退 并 解析 专用 网 络 请 求 
e 拆 分 隧道 : 包括 /排除 用 于 专用 网 络 或 VPN 运行 的 IP 
e mTLS 身份 验证 : 基于 证 书 的 身份 验证 ， 针 针对 物 联 网 和 其 他 mTLS 用 例 
e 应 用 隔离 : 勾 选 单 选 框 ， 即 可 将 应 用 隔离 在 我 们 超 低 延 迟 的 远程 浏览 器 中 * 


应 用 连接 器 简单 编排 我 们 的 轻 量 级 应 用 连接 器 (Cloudflare Tunnel) 即 可 加 快 资源 接 入 Cloudflare 的 速度 ， 无 需 使 
用 虚拟 机 基础 设施 ， 也 没有 吞吐 量 限制 。 包 括 监控 、 虚拟 网 络 (用 于 IP 重 蕉 ) 及 宛 余 和 故障 转移 能 力 。 
设备 客户 端 : e 无 客户 端 : 将 Zero Trust 策略 扩展 到 非 受 管 设备 上 的 第 三 方 用 户 ; 也 可 与 无 客户 端 RBI 和 L7 DLP 策略 
何 时 使 用 很 好 地 搭配 使 用 *。 无 客户 端 访问 支持 Web 应 用 和 基于 浏览 器 的 SSH/VNC。 
e 客户 端 : 我 们 的 设备 客户 端 (Cloudflare WARP) 将 安全 访问 扩展 到 专用 网 络 ， 支 付 服务 对 服务 的 设备 


姿态 集成 ， 具 有 位 置 感知 能 力 ， 可 为 本 地 用 户 应 用 量 身 定制 的 策略 。 还 可 以 连接 任何 两 个 或 更 多 运行 
WARP 的 设备 ， 以 创建 专用 网 络 。 用 户 可 自行 注册 或 通过 MDM 部 署 。 


可 扩展 性 和 可 见 性 


上 传 自 定义 HTML 块 和 应 用 启动 屏幕 ， 以 适应 您 的 品牌 或 传达 特定 的 访问 说 明 ， 从 而 优化 最 终 用 户 体验 。 


全 面 记 录 所 有 请 求 、 用 户 和 设备 的 日 志 。 可 使 用 logpush 或 API 与 现 有 的 SISEM、 编 排 和 分 析 工 具 集 成 。 
对 于 未 知 资产 ， 我 们 用 于 内 部 基础 设施 的 影子 IT 发 现 被 动 编目 来 自 所 有 源 的 独特 流量 。 


直观 的 API 和 Terraform 提供 商用 于 以 编程 方式 管理 Zero Trust 实现 的 所 有 方面 。 也 提供 无 用 户 的 服务 
念 牌 以 支持 自动 化 服务 。 


+ 侈 万 Zero Trust 严 台 舱 作 部 分 IW 雍 
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为 什么 选择 Cloudflare? 


CD 


易于 设置 和 管理 


通过 应 用 连接 器 软件 和 隧道 编排 ， 从 
根本 上 简化 私有 资源 入 口 流量 的 设置 
和 操作 。 


说 


无 颖 连接， 永远 在 线 


利用 Cloudflare 的 全 球 Anycast 技术 
实现 最 终 用 户 的 峰值 性 能 ， 有 足够 的 
韧性 来 应 对 网 络 中 断 ， 确 保 网 络 稳健 
可 靠 。 


让 我 们 讨论 一 下 如 何 为 您 的 组 织 
实现 安全 ,简单 的 访问 


申请 研讨 会 


CLOUDFLARE 


1. ”2023 年 调查 : techvalidate.com/product-research/cloudflare/charts 


:5 


早期 采用 者 的 快速 创新 


携手 积极 创新 、 超 越 同行 的 Zero Trust 
提供 商 ， 跟 上 互联 网 自身 的 发 展 步伐 ， 
使 应 用 访问 更 快 、 更 安全 。 


还 未 准备 好 进行 实时 
对 话 ? 

进一步 了 解 
Cloudflare 的 SSE & 
SASE 平台 


CLOUDFLARE 
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